Quản lý bảo mật ứng dụng với ISO/IEC 27034

Cùng với hệ thống quản lý an toàn thông tin (ISMS), các công ty nên thực hiện các quy trình và kiểm soát khác hoặc tuân thủ các nguyên tắc hướng dẫn sẽ đảm bảo luồng thông tin an toàn trên các hệ thống thông tin và ứng dụng của họ. Các công ty thực hiện ISO/IEC 27001 và các công ty không coi đó là ưu tiên trong chương trình nghị sự của mình, cuối cùng vẫn phải bảo vệ thông tin nhạy cảm, chẳng hạn như thông tin được các ứng dụng của họ thu thập, tính toán, lưu trữ và truyền đạt. Do bất kỳ vi phạm hoặc mất mát nào liên quan đến thông tin nhạy cảm của tổ chức, nó có thể tạo ra tác động không thể chấp nhận được và tạo ra sự khác biệt giữa lợi nhuận và thua lỗ. Các tổ chức nên đầu tư để đào tạo nhân viên của họ về các tiêu chuẩn như ISO/IEC 27034 đề cập cụ thể đến bảo mật ứng dụng. Hơn nữa, bảo mật ứng dụng không chỉ là bảo vệ ứng dụng mà còn là bảo vệ thông tin nhạy cảm liên quan đến việc sử dụng ứng dụng. Tuy nhiên, không phải tất cả các ứng dụng đều phải được bảo vệ ngoại trừ những ứng dụng thao túng thông tin nhạy cảm. Đáng chú ý, ISO/IEC 27034 cung cấp hướng dẫn rõ ràng về lý do và cách thức các công ty có thể xác định, định nghĩa và xác minh tính bảo mật trên một ứng dụng nhạy cảm. Nó cũng cho thấy sự phù hợp của họ đối với mức độ tin cậy có thể đo lường được xác định bởi ISO/IEC 27034.

Lợi ích của bảo mật ứng dụng là gì?

ISO/IEC 27034 Quản lý bảo mật ứng dụng cung cấp một khuôn khổ giúp các tổ chức xác định và bảo vệ thông tin nhạy cảm của ứng dụng cụ thể. Tuy nhiên, rất khó và tốn kém khi cố gắng bảo vệ tất cả các ứng dụng của tổ chức. Tương tự, bằng cách sử dụng phương pháp quản lý rủi ro, khuôn khổ ISO/IEC 27034 đề xuất các thành phần như Kiểm soát bảo mật ứng dụng (ASC) và các quy trình để đảm bảo rằng các ứng dụng nhạy cảm đáp ứng Mức độ tin cậy được nhắm mục tiêu (tức là mức bảo mật bắt buộc). Điều này được thực hiện để không có thông tin nhạy cảm nào có thể bị truy cập, sửa đổi hoặc bị mất bởi bất kỳ sự kiện bất ngờ nào cũng như người không được phép, dù bên trong hay bên ngoài. Do đó, khi ISO/IEC 27034 được thực hiện và quản lý tốt bởi một tổ chức, nó sẽ không chỉ giúp cung cấp bằng chứng dự kiến ​​và có thể kiểm chứng để chứng minh rằng việc bảo vệ đầy đủ các ứng dụng nhạy cảm được áp dụng mà còn giúp hỗ trợ ISMS của tổ chức và bảo mật ICT. Tuy nhiên, trong khi cố gắng triển khai bảo mật ứng dụng tại một tổ chức lớn, việc này có vẻ tốn kém và mất thời gian. Tuy nhiên, việc sử dụng khuôn khổ ISO/IEC 27034 để triển khai Bảo mật ứng dụng sẽ là sự đảm bảo cho việc tối ưu hóa việc triển khai bảo mật và lợi ích là không thể thay thế. Quan trọng là, quy trình bảo mật ứng dụng được quản lý tốt sẽ cung cấp cho bạn bằng chứng cần thiết để bạn có thể tin tưởng các ứng dụng của mình được bảo vệ đầy đủ để đối mặt với bất kỳ sự cố nào (rủi ro được chấp nhận) có thể xảy ra tại thời điểm đó.

Khung ISO/IEC 27034 sẽ cung cấp cho bạn hướng dẫn rõ ràng về cách xử lý các vấn đề bảo mật ứng dụng, có tính đến bối cảnh Kinh doanh, Quy định và Công nghệ cụ thể của bạn. Hơn nữa, việc triển khai các ASC được xác định bởi Mức độ tin cậy của bạn là một tập hợp các quy trình không chỉ được tích hợp tốt trong Vòng đời phát triển hệ thống (SDLC) mà còn với các quy trình hoạt động hàng ngày của bạn.

Các ASC bắt buộc có thể được nhân viên công ty thực hiện trong nội bộ hoặc bên ngoài bằng cách thuê bên ngoài các công ty giải quyết trực tiếp các vấn đề bảo mật cụ thể. Trong cả hai trường hợp, các ASC này đều có thể kiểm chứng được và có thể cung cấp các kết quả mong đợi để chứng minh việc thực hiện đầy đủ của chúng. Nếu không có bằng chứng này, một công ty không thể xác minh bất kỳ triển khai bảo mật thành công nào.

Quản lý bảo mật ứng dụng không hề tầm thường. Nó không chỉ là một quá trình xem xét mã và kiểm tra lỗ hổng bảo mật nữa. Bảo mật ứng dụng không chỉ dành cho các tổ chức đang phát triển ứng dụng mà còn cho các tổ chức cần sử dụng và vận hành các ứng dụng để tạo nên một doanh nghiệp thành công. Bảo mật ứng dụng phải được lập kế hoạch, xác định và quản lý theo các ưu tiên và tài nguyên của tổ chức. Quá nhiều bảo mật là một sự lãng phí tiền bạc, nhưng không đủ bảo mật có thể là mối đe dọa đối với sự tồn tại của tổ chức. Nhìn theo cách đó, có lẽ tốt hơn nên đầu tư vào khóa đào tạo và chứng nhận cần thiết để đảm bảo các chuyên gia của bạn sẽ hiểu và quản lý tốt tính bảo mật của ứng dụng.

ISO/IEC 27034 là hướng dẫn về bảo mật ứng dụng

Suy nghĩ về việc triển khai bảo mật sâu hơn ngụ ý rằng cần phải xem xét nhiều thủ tục và tiêu chuẩn hơn. Việc thực hiện đúng ISO/IEC 27001 và ISMS của nó cung cấp sự đảm bảo tốt cho các vấn đề bảo mật thông tin của công ty. Tuy nhiên, hạn chế của ISMS là xác định những ứng dụng nào cần được bảo vệ và sẽ không cho bạn biết phải làm gì và đó là nơi mà ISO/IEC 27034 đạt được tất cả giá trị của nó.

Nội dung tiêu chuẩn bảo mật ứng dụng ISO/IEC 27034

PHẦN 1

Bảo mật ứng dụng: Tổng quan và khái niệm 

Phần 1 trình bày tổng quan về bảo mật ứng dụng. Nó giới thiệu các định nghĩa, khái niệm, nguyên tắc và quy trình liên quan đến bảo mật ứng dụng.

PHẦN 2

Bảo mật ứng dụng: Khung tiêu chuẩn của tổ chức 

Phần 2 trình bày một cuộc thảo luận chuyên sâu về Khung quy chuẩn của Tổ chức, các thành phần của nó và các quy trình cấp tổ chức để quản lý nó. Phần này giải thích mối quan hệ giữa các quy trình này, các hoạt động liên quan đến chúng và các phương tiện mà chúng hỗ trợ Quy trình quản lý bảo mật ứng dụng. Nó trình bày cách một tổ chức nên thực hiện tiêu chuẩn và tích hợp nó vào các quy trình hiện có của nó.

PHẦN 3

Quy trình quản lý bảo mật ứng dụng 

Phần 3 trình bày thảo luận sâu về các quy trình liên quan đến một dự án ứng dụng: xác định các yêu cầu ứng dụng và môi trường, đánh giá các rủi ro bảo mật ứng dụng, tạo và duy trì Khung quy chuẩn ứng dụng, hiện thực hóa và vận hành ứng dụng cũng như xác nhận tính bảo mật của nó trong suốt vòng đời. Phần này giải thích các mối quan hệ giữa các quy trình này, các hoạt động và sự phụ thuộc lẫn nhau của chúng cũng như cách chúng giới thiệu bảo mật vào một dự án ứng dụng. Nó trình bày cách một tổ chức nên thực hiện tiêu chuẩn ở cấp độ dự án ứng dụng và tích hợp nó vào các quy trình hiện có của nó.

PHẦN 4

Xác thực bảo mật ứng dụng

Phần 4 trình bày thảo luận sâu về quy trình xác thực, đánh giá và chứng nhận bảo mật ứng dụng cho các tổ chức, ứng dụng và con người. Nó trình bày những gì và cách thức thực hiện ATTT này cần được xác minh và đánh giá ở ba (3) cấp độ, như:

1. Cấp tổ chức - nơi sẽ lập khung và hướng dẫn đánh giá viên xác nhận các mục tiêu AS của tổ chức và đánh giá/xác minh cách một tổ chức tuân thủ các mục tiêu và tiêu chí AS của mình.
2. Cấp độ ứng dụng - nơi nó sẽ định khung và hướng dẫn người đánh giá đo lường Mức độ tin cậy thực tế của ứng dụng và so sánh nó với Mức độ tin cậy mục tiêu của ứng dụng mà tổ chức đã chọn trước đó, để chứng nhận ứng dụng này an toàn như mong đợi.
3. Cấp độ người dân - nơi sẽ định khung và hướng dẫn việc phát triển và thực hiện chứng chỉ chuyên nghiệp ISO/IEC 27034 AS.

PHẦN 5

Giao thức và cấu trúc dữ liệu kiểm soát bảo mật ứng dụng

Phần 5 trình bày tập hợp tối thiểu các thuộc tính thiết yếu của ASC và chi tiết thêm về Mô hình tham chiếu vòng đời bảo mật ứng dụng, nhằm tạo điều kiện thuận lợi cho việc triển khai khung AS 27034 và giao tiếp và trao đổi ASC.

PHẦN 5.1 - Giao thức và cấu trúc dữ liệu kiểm soát bảo mật ứng dụng - Lược đồ XML (dự kiến ​​cho năm 2017)

Phần 5 trình bày và giải thích một ví dụ về Lược đồ XML, mô tả các thành phần Kiểm soát Bảo mật Ứng dụng (ASC) và Mô hình Tham chiếu Vòng đời Bảo mật Ứng dụng (ASLCRM).

PHẦN 6

Nghiên cứu điển hình 

Phần 6 cung cấp các nghiên cứu điển hình và ví dụ về ASC được điều chỉnh cho các yêu cầu bảo mật ứng dụng cụ thể.

PHẦN 7

Mô hình dự đoán đảm bảo an ninh ứng dụng 

Phần 7 hệ thống hóa các yêu cầu và khuôn khổ để đưa ra các tuyên bố yêu cầu bảo mật dự đoán để thay thế ASC trong một dự án AS khi được phép. Mỗi phần được quyền đưa ra các giải thích về cách xử lý mọi khía cạnh về Bảo mật ứng dụng. Các kế hoạch bảo mật của tổ chức phải phù hợp với bảo mật của ứng dụng.

Lưu ý: Vì dự án ISO/IEC 27034 vẫn đang trong quá trình thực hiện, danh sách các phần này không phải là xác định. Tài liệu có thể được thêm vào hoặc xóa bỏ và tên của tài liệu có thể được thay đổi khi dự án sẽ phát triển.

ISOCERT là tổ chức chứng nhận về con người, hệ thống quản lý và sản phẩm cho một loạt các tiêu chuẩn quốc tế. ISOCERT cung cấp các dịch vụ đào tạo, kiểm tra, đánh giá và chứng nhận, đồng thời, chúng tôi cũng cung cấp kiến ​​thức chuyên môn của mình trong nhiều lĩnh vực, bao gồm các khóa học về An toàn thông tin ISO/IEC 27000.